Collecter les journaux de pare-feu Palo Alto Networks

Compatible avec :

Ce document explique comment ingérer les journaux de pare-feu Palo Alto Networks dans Google Security Operations à l'aide de Bindplane.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

  • Une instance Google SecOps
  • Windows 2016 ou version ultérieure, ou un hôte Linux avec systemd
  • Si vous exécutez l'agent derrière un proxy, assurez-vous que les ports de pare-feu sont ouverts conformément aux exigences de l'agent BindPlane.
  • Accès privilégié à la console de gestion ou à l'appliance du pare-feu Palo Alto Networks
  • Pare-feu Palo Alto Networks (toutes les versions sont compatibles avec le format Syslog standard ; PAN-OS 8.0.3 ou version ultérieure recommandé pour les formats personnalisés CEF/LEEF)

Obtenir le fichier d'authentification d'ingestion Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres du SIEM > Agents de collecte.
  3. Téléchargez le fichier d'authentification d'ingestion. Enregistrez le fichier de manière sécurisée sur le système sur lequel Bindplane sera installé.

Obtenir l'ID client Google SecOps

  1. Connectez-vous à la console Google SecOps.
  2. Accédez à Paramètres SIEM> Profil.
  3. Copiez et enregistrez le numéro client de la section Informations sur l'organisation.

Installer l'agent Bindplane

Installez l'agent Bindplane sur votre système d'exploitation Windows ou Linux en suivant les instructions ci-dessous.

Installation de fenêtres

  1. Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur.

  2. Exécutez la commande suivante :

    msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installation de Linux

  1. Ouvrez un terminal avec les droits root ou sudo.

  2. Exécutez la commande suivante :

    sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Ressources d'installation supplémentaires

Configurer l'agent Bindplane pour ingérer Syslog et l'envoyer à Google SecOps

  1. Accédez au fichier de configuration :

    1. Trouvez le fichier config.yaml. En règle générale, il se trouve dans le répertoire /etc/bindplane-agent/ sous Linux ou dans le répertoire d'installation sous Windows.
    2. Ouvrez le fichier à l'aide d'un éditeur de texte (par exemple, nano, vi ou le Bloc-notes).

  2. Modifiez le fichier config.yaml comme suit :

    receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: YOUR_CUSTOMER_ID
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'PAN_FIREWALL'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels
    • Remplacez le port et l'adresse IP selon les besoins de votre infrastructure.
    • Remplacez <customer_id> par le numéro client réel.
    • Mettez à jour /path/to/ingestion-authentication-file.json avec le chemin d'accès où le fichier d'authentification a été enregistré dans la section Obtenir le fichier d'authentification pour l'ingestion Google SecOps.

Redémarrez l'agent Bindplane pour appliquer les modifications.

  • Pour redémarrer l'agent Bindplane sous Linux, exécutez la commande suivante :

    sudo systemctl restart bindplane-agent

  • Pour redémarrer l'agent Bindplane sous Windows, vous pouvez utiliser la console Services ou saisir la commande suivante :

    net stop BindPlaneAgent && net start BindPlaneAgent

Configurer le transfert syslog sur le pare-feu Palo Alto Networks

Créer un profil de serveur syslog

  1. Connectez-vous à la console de gestion du pare-feu Palo Alto Networks.
  2. Accédez à Appareil > Profils de serveur > Syslog.
  3. Cliquez sur Ajouter pour créer un profil de serveur.
  4. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom descriptif (par exemple, Google SecOps BindPlane).
    • Emplacement : sélectionnez le système virtuel (vsys) ou Partagé où ce profil sera disponible.
  5. Cliquez sur Serveurs > Ajouter pour configurer le serveur Syslog.
  6. Fournissez les informations de configuration du serveur suivantes :
    • Name (Nom) : saisissez un nom descriptif pour le serveur (par exemple, BindPlane Agent).
    • Serveur Syslog : saisissez l'adresse IP de l'agent BindPlane.
    • Transport : sélectionnez UDP ou TCP, selon la configuration de votre agent BindPlane (UDP est la valeur par défaut).
    • Port : saisissez le numéro de port de l'agent BindPlane (par exemple, 514).
    • Format : sélectionnez BSD (par défaut) ou IETF, selon vos besoins.
    • Installation : sélectionnez LOG_USER (par défaut) ou une autre installation si nécessaire.
  7. Cliquez sur OK pour enregistrer le profil du serveur syslog.

Facultatif : Configurer un format de journal personnalisé pour CEF ou LEEF

Si vous avez besoin de journaux CEF (Common Event Format) ou LEEF (Log Event Extended Format) au lieu de journaux CSV :

  1. Dans le profil du serveur Syslog, sélectionnez l'onglet Format de journal personnalisé.
  2. Configurez le format de journal personnalisé pour chaque type de journal (configuration, système, menace, trafic, URL, données, WildFire, tunnel, authentification, User-ID, correspondance HIP).
  3. Pour configurer le format CEF, consultez le Guide de configuration CEF de Palo Alto Networks.
  4. Cliquez sur OK pour enregistrer la configuration.

Créer un profil de transfert de journaux

  1. Accédez à Objets > Transfert de journaux.
  2. Cliquez sur Ajouter pour créer un profil de transfert de journaux.
  3. Fournissez les informations de configuration suivantes :
    • Nom : saisissez un nom de profil (par exemple, Google SecOps Forwarding). Si vous souhaitez que le pare-feu attribue automatiquement ce profil aux nouvelles règles et zones de sécurité, nommez-le default.
  4. Pour chaque type de journal que vous souhaitez transférer (trafic, menace, envoi WildFire, filtrage d'URL, filtrage de données, tunnel, authentification), configurez les éléments suivants :
    • Cliquez sur Ajouter dans la section du type de journal concerné.
    • Syslog : sélectionnez le profil de serveur syslog que vous avez créé (par exemple, Google SecOps BindPlane).
    • Gravité du journal : sélectionnez les niveaux de gravité à transférer (par exemple, Tous).
  5. Cliquez sur OK pour enregistrer le profil de transfert des journaux.

Appliquer un profil de transfert de journaux aux règles de sécurité

  1. Accédez à Règles > Sécurité.
  2. Sélectionnez la ou les règles de sécurité pour lesquelles vous souhaitez activer le transfert de journaux.
  3. Cliquez sur la règle pour la modifier.
  4. Accédez à l'onglet Actions.
  5. Dans le menu Transfert de journaux, sélectionnez le profil de transfert de journaux que vous avez créé (par exemple, Google SecOps Forwarding).
  6. Cliquez sur OK pour enregistrer la configuration de la stratégie de sécurité.

Configurer les paramètres de journaux pour les journaux système

  1. Accédez à Appareil > Paramètres du journal.
  2. Pour chaque type de journal (système, configuration, User-ID, HIP Match, Global Protect, IP-Tag, SCTP) et chaque niveau de gravité, sélectionnez le profil de serveur syslog que vous avez créé.
  3. Cliquez sur OK pour enregistrer les paramètres du journal.

Valider les modifications

  1. Cliquez sur Commit (Valider) en haut de l'interface Web du pare-feu.
  2. Attendez que le commit se termine correctement.
  3. Vérifiez que les journaux sont envoyés à l'agent Bindplane en consultant la console Google SecOps pour les journaux de pare-feu Palo Alto Networks entrants.

Types et formats de journaux compatibles

L'analyseur Google SecOps est compatible avec les types de journaux de pare-feu Palo Alto Networks suivants :

  • Journaux de trafic
  • Journaux des menaces
  • Journaux de filtrage des URL
  • Journaux de filtrage des données
  • Journaux d'envoi WildFire
  • Journaux d'inspection des tunnels
  • Journaux d'authentification
  • Journaux User-ID
  • Journaux de correspondance HIP
  • Journaux système
  • Journaux de configuration
  • Journaux GlobalProtect
  • Journaux SCTP
  • Journaux de déchiffrement

L'analyseur accepte les journaux aux formats suivants :

  • CSV (valeurs séparées par une virgule) : format par défaut
  • CEF (Common Event Format) : nécessite une configuration personnalisée du format de journal
  • LEEF (Log Event Extended Format) : nécessite une configuration personnalisée du format de journal

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.